Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Autoruner1.12118
Добавлен в вирусную базу Dr.Web:
2012-02-16
Описание добавлено:
2012-03-08
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '818141' = '<SYSTEM32>\CatRoot\818141.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '818141' = '<SYSTEM32>\CatRoot\818141.exe'
Подменяет следующие исполняемые системные файлы:
<SYSTEM32>\dllcache\msconfig.exe файлом <SYSTEM32>\dllcache\msconfig.exe.new
<SYSTEM32>\dllcache\rstrui.exe файлом <SYSTEM32>\dllcache\rstrui.exe.new
<SYSTEM32>\dllcache\srdiag.exe файлом <SYSTEM32>\dllcache\srdiag.exe.new
%WINDIR%\pchealth\helpctr\binaries\msconfig.exe файлом %WINDIR%\pchealth\helpctr\binaries\msconfig.exe.new
<SYSTEM32>\Restore\rstrui.exe файлом <SYSTEM32>\Restore\rstrui.exe.new
<SYSTEM32>\Restore\srdiag.exe файлом <SYSTEM32>\Restore\srdiag.exe.new
Создает следующие файлы на съемном носителе:
<Имя диска съемного носителя>:\Teddy Afro.exe
<Имя диска съемного носителя>:\autorun.inf
<Имя диска съемного носителя>:\80482.exe
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
блокирует запуск следующих системных утилит:
Диспетчера задач (Taskmgr)
Редактора реестра (RegEdit)
Запускает на исполнение:
<SYSTEM32>\reg.exe add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
<SYSTEM32>\reg.exe add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoRun /t REG_DWORD /d 1 /f
<SYSTEM32>\reg.exe delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot /f
<SYSTEM32>\cmd.exe /c ""%WINDIR%\ss.bat" "
<SYSTEM32>\reg.exe add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 2 /f
<SYSTEM32>\reg.exe add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 1 /f
Изменяет следующие настройки проводника Windows (Windows Explorer):
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoRun' = '00000001'
Изменения в файловой системе:
Создает следующие файлы:
C:\autorun.inf
C:\Teddy Afro.exe
%WINDIR%\pchealth\helpctr\binaries\msconfig.exe.new
%ALLUSERSPROFILE%\Documents\Hot Ethiopian girls.exe
%ALLUSERSPROFILE%\Documents\Urgent.exe
C:\80482.exe
<SYSTEM32>\Restore\rstrui.exe.new
<SYSTEM32>\dllcache\rstrui.exe.new
<SYSTEM32>\dllcache\srdiag.exe.new
<SYSTEM32>\dllcache\srframe.mmf.new
<SYSTEM32>\Restore\srdiag.exe.new
<SYSTEM32>\Restore\srframe.mmf.new
<SYSTEM32>\dllcache\msconfig.exe.new
%ALLUSERSPROFILE%\Documents\Important Files.exe
%TEMP%\aut1.tmp
<SYSTEM32>\mler.a3x
%TEMP%\aut2.tmp
<SYSTEM32>\kls.ini
<SYSTEM32>\clin\80482.exe
<SYSTEM32>\CatRoot\818141.exe
<SYSTEM32>\cper.a3x
%WINDIR%\ss.bat
%ALLUSERSPROFILE%\Documents\Tedy Afro.exe
%ALLUSERSPROFILE%\Documents\New Folder.exe
%TEMP%\aut3.tmp
<SYSTEM32>\dwlr.a3x
<SYSTEM32>\clin\ax.log
Присваивает атрибут 'скрытый' для следующих файлов:
<SYSTEM32>\cper.a3x
<SYSTEM32>\dwlr.a3x
<SYSTEM32>\clin\ax.log
<SYSTEM32>\mler.a3x
<SYSTEM32>\kls.ini
<SYSTEM32>\CatRoot\818141.exe
<SYSTEM32>\clin\80482.exe
Удаляет следующие файлы:
<SYSTEM32>\Restore\rstrui.exe
<SYSTEM32>\Restore\srdiag.exe
<SYSTEM32>\Restore\srframe.mmf
<SYSTEM32>\Restore\MachineGuid.txt
%TEMP%\aut1.tmp
%TEMP%\aut2.tmp
%TEMP%\aut3.tmp
Перемещает следующие системные файлы:
%WINDIR%\pchealth\helpctr\binaries\msconfig.exe в %WINDIR%\pchealth\helpctr\binaries\akr.exe
Другое:
Ищет следующие окна:
ClassName: 'Indicator' WindowName: ''
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK